OCSP Stapling
-
SPEC1AL1ST
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
OCSP Stapling
Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.
-
SPEC1AL1ST
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Так мне кто-нибудь сможет ответить?
Re: OCSP Stapling
Он настраивается также, как и везде в nginxSPEC1AL1ST wrote:Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.
Code: Select all
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate "/path/to/your/ssl/ca-certs.pem"; <-- вот эту часть нужно нарыть
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;Re: OCSP Stapling
Рано или поздно, рано или поздно.SPEC1AL1ST wrote:Так мне кто-нибудь сможет ответить?
Вообще есть прекрасная статья:
Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx - https://habrahabr.ru/post/254231/
Принципы одни и те же.
-
SPEC1AL1ST
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Читал. Команды те же? Мне главное команды
Re: OCSP Stapling
Я вас уверяю, что nginx используется тот же самый, что и в остальным мире :)SPEC1AL1ST wrote:Читал. Команды те же? Мне главное команды
На моих боевых серверах эта секция выглядит вот так:
Code: Select all
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 1400;
ssl_session_timeout 24h;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;
-
SPEC1AL1ST
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(
И где взять файл dhparam.pem ? Очень много не понятного :(
И где взять файл dhparam.pem ? Очень много не понятного :(
Re: OCSP Stapling
Перечисленные параметры указать в /etc/nginx.conf - раздел SSL PCI ComplianceSPEC1AL1ST wrote:Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(
Они будут наследоваться на остальные конфиги.
Генерировать.SPEC1AL1ST wrote:И где взять файл dhparam.pem ? Очень много не понятного :(
Code: Select all
openssl dhparam -out /etc/nginx/cert/dhparam.pem 4096-
SPEC1AL1ST
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
DH ключ создал, подключил, уже не пишет, что сервер подвержен атакам :)
Спасибо!!!
Но OCSP еще бодается
Я использовал ваши данные для nginx
Прописал в home/admin/conf/web/snginx.conf следующее из гайда на хабре:
И все равно не работает...
Спасибо!!!
Но OCSP еще бодается
Я использовал ваши данные для nginx
Code: Select all
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 1400;
ssl_session_timeout 24h;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
ssl_trusted_certificate /etc/nginx/cert/ca-certs.pem;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;Code: Select all
ssl on;
ssl_certificate /home/admin/conf/web/ssl.eve-ua.com.crt;
ssl_certificate_key /home/admin/conf/web/ssl.eve-ua.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
Last edited by SPEC1AL1ST on Fri Apr 29, 2016 1:44 pm, edited 1 time in total.